Disney +: Vi blev ikke hacket, du bruger sandsynligvis en gammel adgangskode

Tiago Almeida var blandt de millioner af brugere, der tilmeldte sig Disney +.

Han forventede bare aldrig at dele sin konto med en flok fremmede fremmede.

I de sidste to dage har Disney fyldt sin e-mail-indbakke med meddelelser, der signaliserer, at uautoriserede brugere har forsøgt at få adgang til hans konto.

”Efter midnat modtog jeg 30 underretninger,” sagde han.

Almeida kan takke hackere. De har sendt gyldige loginoplysninger til Disney + -konti og tilbudt dem både til salg og gratis.

Nyhederne, som først blev rapporteret af ZDNet, fremhæver den skyggefulde verden med adgangskodebrydning.

Nej, Disney + led ikke et massivt databrud.

Loginoplysningerne blev heller ikke nødvendigvis stjålet.

I stedet involverer problemerne en kardinal synd, der står over for it-sikkerhed: genbrug af kodeord.

Det er, hvad der skete med Almeida; hans Disney + -adgangskode var ikke unik.

Han bruger det på andre online-konti, hvilket var, hvordan hackerne gættede hans gyldige loginoplysninger.

"Ja, det er min adgangskode," sagde han, efter at vi fandt hans loginoplysninger i et af Disney + -datadumpene.

"Jeg bliver nødt til at ændre det."

Det er ingen overraskelse, at Disney + blev ramt af kontokapringerne.

I årevis har hackere på skyggefulde fora og mørke webmarkeder solgt gyldige loginoplysninger til andre streamingtjenester som Netflix, Hulu og HBO, ofte for kun få dollars pr.

Konto.

Generelt opnås kontiene takket være folk, der genbruger gamle adgangskoder til andre internettjenester, ifølge Andrei Barysevich, administrerende direktør for sikkerhedsfirmaet Gemini Advisory.

Og fordi websteder konstant bliver brudt, kan hackere få adgang til hele trove af kombinationer af e-mail-adresse og adgangskode og derefter prøve dem på en tjeneste som Disney +.

"Hvis nogen har en frisk database med e-mail-adresser og adgangskoder til en million brugere, fungerer måske kun 1 procent, men det er stadig 10.000 brugere berørt," sagde han.

Hackerne kan teste, hvilke logins der fungerer ved hjælp af softwarebaserede hackingsværktøjer, såsom Sentry MBA, som kan automatisere adgangskodeprocessen.

"Du kan klikke på en startknap, og næste morgen har du 100 eller 1.000 gyldige konti," tilføjede Barysevich.

Det hjælper også med at streamingtjenesterne kan være lette, når det kommer til adgangskodedeling.

Som et resultat kan hackere slippe af med at sælge de gyldige legitimationsoplysninger, ofte uden kontoindehaveren engang klar over det.

”Det er ikke så skadeligt,” sagde han.

"Ingen kan bruge en Hulu-konto til at købe en $ 2.000 $ bærbar computer på Amazon."

”Men de kriminelle ved nu, at den specifikke e-mail-adresse og adgangskodekombination fungerer,” tilføjede Barysevich.

"Så de kunne udnytte det igen til at målrette mod mere følsomme onlinekonti, som i en bank."

Hvad Almeida angår, tilmeldte han sig oprindeligt Disney + til sin egen personlige brug.

Men tirsdag fortalte han Daxdi, at han bemærkede fremmede, der oprettede yderligere tre brugerprofiler på sin konto.

Selvom Almeida har ændret sin adgangskode, modtager han stadig underretninger fra Disney om uautoriserede adgangsforsøg.

Specifikt vedrører e-mails fra Disney en sikkerhedsforanstaltning, som virksomheden har implementeret for at stoppe kapringerne.

Det kræver, at brugeren først skriver en engangskode, der leveres til kontohaverens e-mail-indbakke for at få fuld adgang til Disney +.

De gentagne underretninger og nyheder om kontokapringerne er grunden til, at Almeida besluttede at annullere sin konto hos streamingtjenesten.

"Jeg tror, ??jeg vil (prøv Disney + igen), men de skal finde ud af, hvad der sker," sagde han.

"Jeg kan virkelig godt lide det, men hacking-tingene.

De skal finde ud af, hvordan man løser det."

Almeida er ikke den eneste bruger, der har modtaget underretningerne.

Daxdi talte med et andet offer for kontokapringerne, som også havde hendes e-mail-adresse og adgangskode i en Disney + -kontodump.

”Det er min adgangskode og e-mail, og jeg er enig i, at jeg tror, ??jeg er blevet hacket,” sagde brugeren.

"Jeg får vedvarende e-mails med en engangskode, som jeg ikke anmoder om.

Jeg har faktisk annulleret min konto for tre dage siden, men jeg modtager stadig e-mails så sent som kl.

14.30 i dag."

Den samme bruger sagde, at hendes Disney + -adgangskode ikke blev brugt andre steder.

ZDNet fandt også tilfælde af brugere, der sagde, at deres Disney + -adgangskoder var unikke.

Dette kan betyde, at hackerne også får adgangskoderne på andre måder, f.eks.

Keylogging-malware.

Nogle af de gyldige loginoplysninger er også frit tilgængelige over det åbne web gennem indlæg, som hackere har lavet i fora.

Ifølge Barysevich gøres dette, så hackeren kan opbygge et ry i håb om at sælge andre password-dumps i fremtiden.

Selvom kontokapringerne måske lyder bekymrende, kan du for perspektiv faktisk finde flere loginoplysninger til Netflix, Hulu og HBO, der sælges af hackere end over Disney +, tilføjede Barysevich.

"Vi ser kun på fem eller seks dårlige skuespillere, der er rettet mod Disney mod 200," tilføjede han.

Men det kan ændre sig over tid, da Disneys streamingtjeneste bliver mere populær og ruller til flere lande.

I en erklæring onsdag beskyldte Disney også kontokapringen af ??hackere, der udvinder tidligere databrud for gyldig loginoplysninger.

”Vi har ikke fundet noget bevis for sikkerhedsbrud [at Disney+].

Milliarder af brugernavne og adgangskoder lækket fra tidligere overtrædelser hos andre virksomheder, der er dateret til lanceringen af ??Disney +, sælges på internettet, ”sagde virksomheden.

"Vi reviderer løbende vores sikkerhedssystemer, og når vi finder et forsøg på mistænkeligt login, låser vi proaktivt den tilknyttede brugerkonto og opfordrer brugeren til at vælge en ny adgangskode.

Vi har set en meget lille procentdel af brugere i denne situation og opfordrer alle brugere, der er at have denne slags problemer for at nå ud til vores kundesupport, så vi kan hjælpe dem, ”tilføjede Disney.

Redaktørens note: Denne historie er blevet opdateret med en ny kommentar fra Disney.

Tiago Almeida var blandt de millioner af brugere, der tilmeldte sig Disney +.

Han forventede bare aldrig at dele sin konto med en flok fremmede fremmede.

I de sidste to dage har Disney fyldt sin e-mail-indbakke med meddelelser, der signaliserer, at uautoriserede brugere har forsøgt at få adgang til hans konto.

”Efter midnat modtog jeg 30 underretninger,” sagde han.

Almeida kan takke hackere. De har sendt gyldige loginoplysninger til Disney + -konti og tilbudt dem både til salg og gratis.

Nyhederne, som først blev rapporteret af ZDNet, fremhæver den skyggefulde verden med adgangskodebrydning.

Nej, Disney + led ikke et massivt databrud.

Loginoplysningerne blev heller ikke nødvendigvis stjålet.

I stedet involverer problemerne en kardinal synd, der står over for it-sikkerhed: genbrug af kodeord.

Det er, hvad der skete med Almeida; hans Disney + -adgangskode var ikke unik.

Han bruger det på andre online-konti, hvilket var, hvordan hackerne gættede hans gyldige loginoplysninger.

"Ja, det er min adgangskode," sagde han, efter at vi fandt hans loginoplysninger i et af Disney + -datadumpene.

"Jeg bliver nødt til at ændre det."

Det er ingen overraskelse, at Disney + blev ramt af kontokapringerne.

I årevis har hackere på skyggefulde fora og mørke webmarkeder solgt gyldige loginoplysninger til andre streamingtjenester som Netflix, Hulu og HBO, ofte for kun få dollars pr.

Konto.

Generelt opnås kontiene takket være folk, der genbruger gamle adgangskoder til andre internettjenester, ifølge Andrei Barysevich, administrerende direktør for sikkerhedsfirmaet Gemini Advisory.

Og fordi websteder konstant bliver brudt, kan hackere få adgang til hele trove af kombinationer af e-mail-adresse og adgangskode og derefter prøve dem på en tjeneste som Disney +.

"Hvis nogen har en frisk database med e-mail-adresser og adgangskoder til en million brugere, fungerer måske kun 1 procent, men det er stadig 10.000 brugere berørt," sagde han.

Hackerne kan teste, hvilke logins der fungerer ved hjælp af softwarebaserede hackingsværktøjer, såsom Sentry MBA, som kan automatisere adgangskodeprocessen.

"Du kan klikke på en startknap, og næste morgen har du 100 eller 1.000 gyldige konti," tilføjede Barysevich.

Det hjælper også med at streamingtjenesterne kan være lette, når det kommer til adgangskodedeling.

Som et resultat kan hackere slippe af med at sælge de gyldige legitimationsoplysninger, ofte uden kontoindehaveren engang klar over det.

”Det er ikke så skadeligt,” sagde han.

"Ingen kan bruge en Hulu-konto til at købe en $ 2.000 $ bærbar computer på Amazon."

”Men de kriminelle ved nu, at den specifikke e-mail-adresse og adgangskodekombination fungerer,” tilføjede Barysevich.

"Så de kunne udnytte det igen til at målrette mod mere følsomme onlinekonti, som i en bank."

Hvad Almeida angår, tilmeldte han sig oprindeligt Disney + til sin egen personlige brug.

Men tirsdag fortalte han Daxdi, at han bemærkede fremmede, der oprettede yderligere tre brugerprofiler på sin konto.

Selvom Almeida har ændret sin adgangskode, modtager han stadig underretninger fra Disney om uautoriserede adgangsforsøg.

Specifikt vedrører e-mails fra Disney en sikkerhedsforanstaltning, som virksomheden har implementeret for at stoppe kapringerne.

Det kræver, at brugeren først skriver en engangskode, der leveres til kontohaverens e-mail-indbakke for at få fuld adgang til Disney +.

De gentagne underretninger og nyheder om kontokapringerne er grunden til, at Almeida besluttede at annullere sin konto hos streamingtjenesten.

"Jeg tror, ??jeg vil (prøv Disney + igen), men de skal finde ud af, hvad der sker," sagde han.

"Jeg kan virkelig godt lide det, men hacking-tingene.

De skal finde ud af, hvordan man løser det."

Almeida er ikke den eneste bruger, der har modtaget underretningerne.

Daxdi talte med et andet offer for kontokapringerne, som også havde hendes e-mail-adresse og adgangskode i en Disney + -kontodump.

”Det er min adgangskode og e-mail, og jeg er enig i, at jeg tror, ??jeg er blevet hacket,” sagde brugeren.

"Jeg får vedvarende e-mails med en engangskode, som jeg ikke anmoder om.

Jeg har faktisk annulleret min konto for tre dage siden, men jeg modtager stadig e-mails så sent som kl.

14.30 i dag."

Den samme bruger sagde, at hendes Disney + -adgangskode ikke blev brugt andre steder.

ZDNet fandt også tilfælde af brugere, der sagde, at deres Disney + -adgangskoder var unikke.

Dette kan betyde, at hackerne også får adgangskoderne på andre måder, f.eks.

Keylogging-malware.

Nogle af de gyldige loginoplysninger er også frit tilgængelige over det åbne web gennem indlæg, som hackere har lavet i fora.

Ifølge Barysevich gøres dette, så hackeren kan opbygge et ry i håb om at sælge andre password-dumps i fremtiden.

Selvom kontokapringerne måske lyder bekymrende, kan du for perspektiv faktisk finde flere loginoplysninger til Netflix, Hulu og HBO, der sælges af hackere end over Disney +, tilføjede Barysevich.

"Vi ser kun på fem eller seks dårlige skuespillere, der er rettet mod Disney mod 200," tilføjede han.

Men det kan ændre sig over tid, da Disneys streamingtjeneste bliver mere populær og ruller til flere lande.

I en erklæring onsdag beskyldte Disney også kontokapringen af ??hackere, der udvinder tidligere databrud for gyldig loginoplysninger.

”Vi har ikke fundet noget bevis for sikkerhedsbrud [at Disney+].

Milliarder af brugernavne og adgangskoder lækket fra tidligere overtrædelser hos andre virksomheder, der er dateret til lanceringen af ??Disney +, sælges på internettet, ”sagde virksomheden.

"Vi reviderer løbende vores sikkerhedssystemer, og når vi finder et forsøg på mistænkeligt login, låser vi proaktivt den tilknyttede brugerkonto og opfordrer brugeren til at vælge en ny adgangskode.

Vi har set en meget lille procentdel af brugere i denne situation og opfordrer alle brugere, der er at have denne slags problemer for at nå ud til vores kundesupport, så vi kan hjælpe dem, ”tilføjede Disney.

Redaktørens note: Denne historie er blevet opdateret med en ny kommentar fra Disney.